安全設(shè)備、系統(tǒng)和方法與流程

本公開(kāi)涉及計(jì)算機(jī)網(wǎng)絡(luò)，并且更具體地，涉及例如在計(jì)算機(jī)網(wǎng)絡(luò)中使用的下一代防火墻(ngfw)系統(tǒng)的安全設(shè)備。
背景技術(shù)：
：計(jì)算機(jī)網(wǎng)絡(luò)通常包括交換數(shù)據(jù)并共享資源的互連的計(jì)算設(shè)備的集合。設(shè)備可以包括例如web服務(wù)器、數(shù)據(jù)庫(kù)服務(wù)器、文件服務(wù)器、路由器、打印機(jī)、終端用戶計(jì)算機(jī)和其它設(shè)備。各種設(shè)備可以執(zhí)行各種不同的服務(wù)和通信協(xié)議。每個(gè)不同的服務(wù)和通信協(xié)議將網(wǎng)絡(luò)暴露給不同的安全漏洞。在典型的網(wǎng)絡(luò)部署中，可以部署多個(gè)下一代防火墻(ngfw)設(shè)備。每個(gè)ngfw設(shè)備可以分別處理大量的網(wǎng)絡(luò)流量。網(wǎng)絡(luò)流量屬于在不同傳輸介質(zhì)(tcp/udp/http等)上運(yùn)行的各種應(yīng)用。ngfw設(shè)備單獨(dú)處理流量并應(yīng)用動(dòng)態(tài)應(yīng)用分類算法以便對(duì)應(yīng)用進(jìn)行分類。在各種非限制性示例使用情況下，ngfw設(shè)備可以執(zhí)行關(guān)于點(diǎn)對(duì)點(diǎn)(p2p)應(yīng)用的應(yīng)用分類。一般來(lái)說(shuō)，ngfw網(wǎng)絡(luò)設(shè)備執(zhí)行應(yīng)用分類、存儲(chǔ)分類所需的數(shù)據(jù)并分別進(jìn)行策略執(zhí)行。在許多情況下，p2p應(yīng)用(例如edonkey、ares、mute、gnuetella，directconnect和qvod)用于內(nèi)容遞送、下載和共享文件、視頻文件、音頻文件等。反過(guò)來(lái)，這樣的p2p應(yīng)用傾向于消耗大量的網(wǎng)絡(luò)帶寬。用于通過(guò)ngfw設(shè)備對(duì)這樣的p2p應(yīng)用進(jìn)行分類的算法是復(fù)雜的并且中央處理單元(cpu)密集的，因?yàn)樗惴赡芟拇罅康腸pu時(shí)鐘周期。技術(shù)實(shí)現(xiàn)要素：一般來(lái)說(shuō)，本公開(kāi)描述用于減少由應(yīng)用分類導(dǎo)致的計(jì)算資源消耗和網(wǎng)絡(luò)帶寬消耗的技術(shù)。根據(jù)本公開(kāi)的各個(gè)方面，安全設(shè)備(例如ngfw)可以將大量消耗cpu的應(yīng)用分類操作的結(jié)果輸出到網(wǎng)絡(luò)中的其它ngfw。這樣，輸出的信息可以被其它ngfw重復(fù)使用，而不會(huì)對(duì)相關(guān)流量流再次執(zhí)行這種應(yīng)用標(biāo)識(shí)操作。根據(jù)本公開(kāi)的方面，這些安全設(shè)備(例如，ngfw)可以配置為彼此協(xié)調(diào)并且彼此交換應(yīng)用分類信息。應(yīng)用分類信息的示例包括應(yīng)用名稱、目的地互聯(lián)網(wǎng)協(xié)議(ip)地址和目的地端口。除了應(yīng)用分類信息之外，所公開(kāi)的技術(shù)可以使得ngfw能夠共享元數(shù)據(jù)和其它屬性，像對(duì)將來(lái)的p2p會(huì)話進(jìn)行分類所需的交換的對(duì)等的信息(對(duì)等ip和對(duì)等端口)。ngfw可以應(yīng)用輸出的分類信息和其它信息以執(zhí)行用于應(yīng)用的策略，并且對(duì)于可以是p2p應(yīng)用的應(yīng)用采取相應(yīng)的動(dòng)作(例如，允許/拒絕/丟棄)。在一個(gè)示例中，一種方法，包括：由第一安全設(shè)備從第二安全設(shè)備接收表示用于第一分組流的應(yīng)用分類的數(shù)據(jù)。該方法進(jìn)一步包括由第一安全設(shè)備接收第二分組流的數(shù)據(jù)，和當(dāng)?shù)诙纸M流對(duì)應(yīng)于第一分組流時(shí)，由第一安全設(shè)備基于用于第一分組流的應(yīng)用分類來(lái)監(jiān)控第二分組流的數(shù)據(jù)，而不對(duì)第二分組流的應(yīng)用分類進(jìn)行確定。在另一個(gè)示例中，第一安全設(shè)備包括：存儲(chǔ)器，配置為存儲(chǔ)網(wǎng)絡(luò)通信數(shù)據(jù)；和一個(gè)或多個(gè)處理器，用于處理網(wǎng)絡(luò)通信數(shù)據(jù)的至少一部分。一個(gè)或多個(gè)處理器可以配置為從第二安全設(shè)備接收表示用于第一分組流的應(yīng)用分類的數(shù)據(jù)，接收第二分組流的數(shù)據(jù)，和當(dāng)?shù)诙纸M流對(duì)應(yīng)于第一分組流時(shí)，基于用于第一分組流的應(yīng)用分類來(lái)監(jiān)控第二分組流的數(shù)據(jù)，而不對(duì)第二分組流的應(yīng)用分類進(jìn)行確定。在另一示例中，非易失性計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)用指令編碼，當(dāng)被執(zhí)行時(shí)，使得第一安全設(shè)備的一個(gè)或多個(gè)處理器從第二安全設(shè)備接收表示用于第一分組流的應(yīng)用分類的數(shù)據(jù)，接收第二分組流的數(shù)據(jù)，并且當(dāng)?shù)诙纸M流對(duì)應(yīng)于第一分組流時(shí)，基于用于第一分組流的應(yīng)用分類來(lái)監(jiān)控第二分組流的數(shù)據(jù)，而不對(duì)用于第二分組流的應(yīng)用分類進(jìn)行確定。在另一個(gè)示例中，一種系統(tǒng)包括：第一安全設(shè)備，配置為將表示用于第一分組流的應(yīng)用分類的數(shù)據(jù)發(fā)送到通信地耦接到第一安全設(shè)備的一個(gè)或多個(gè)安全設(shè)備。該系統(tǒng)可以進(jìn)一步包括一個(gè)或多個(gè)安全設(shè)備中的第二安全設(shè)備，其通信地耦接到第一安全設(shè)備，第二安全設(shè)備配置為從第一安全設(shè)備接收表示用于第一分組流的應(yīng)用分類的數(shù)據(jù)，接收第二分組流的數(shù)據(jù)，和當(dāng)?shù)诙纸M流對(duì)應(yīng)于第一分組流時(shí)，基于用于第一分組流的應(yīng)用分類來(lái)監(jiān)控第二分組流的數(shù)據(jù)，而不對(duì)用于第二分組流的應(yīng)用分類進(jìn)行確定。在另一示例中，一種方法包括由第一安全設(shè)備確定用于第一分組流的應(yīng)用分類，以及由第一安全設(shè)備將用于第一分組流的應(yīng)用分類和用于第一分組流的對(duì)等信息傳送到通信地耦接到第一安全設(shè)備的第二安全設(shè)備。本文所描述的技術(shù)可提供若干優(yōu)點(diǎn)。通過(guò)在多個(gè)設(shè)備(例如，ngfw)之間輸出和同步分類和相關(guān)的p2p信息(例如，對(duì)等ip、對(duì)等體口)，本公開(kāi)的技術(shù)可以節(jié)省在其它設(shè)備上重新對(duì)這些應(yīng)用進(jìn)行分類所需的時(shí)間、計(jì)算資源和網(wǎng)絡(luò)帶寬。以這種方式，本公開(kāi)的技術(shù)可以改善網(wǎng)絡(luò)性能以及各個(gè)設(shè)備的性能。網(wǎng)絡(luò)中部署的多個(gè)ngfw可以作為協(xié)同設(shè)備，學(xué)習(xí)對(duì)等信息并分發(fā)信息給其它ngfw。在附圖和下面的描述中闡述了一個(gè)或多個(gè)示例的細(xì)節(jié)。從說(shuō)明書(shū)和附圖以及從權(quán)利要求中，其它特征、目的和優(yōu)點(diǎn)將是顯而易見(jiàn)的。附圖說(shuō)明圖1a是示出包括配置為在虛擬專用局域網(wǎng)服務(wù)(vpls)網(wǎng)絡(luò)中接收和發(fā)送數(shù)據(jù)分組的下一代防火墻(ngfw)的示例計(jì)算機(jī)網(wǎng)絡(luò)的框圖。圖1b是示出在網(wǎng)絡(luò)的對(duì)等設(shè)備之間已經(jīng)建立p2p會(huì)話之后的網(wǎng)絡(luò)的框圖。圖1c是示出根據(jù)本公開(kāi)的一個(gè)或多個(gè)方面的下一代防火墻(ngfw)可以實(shí)現(xiàn)的聯(lián)合策略執(zhí)行的框圖。圖2是示出根據(jù)本公開(kāi)的一個(gè)或多個(gè)方面的ngfw的示例的框圖。圖3是示出根據(jù)本公開(kāi)的一個(gè)或多個(gè)方面的狀態(tài)檢查引擎的示例實(shí)施方式的框圖。圖4是示出根據(jù)本公開(kāi)的一種或多種技術(shù)的設(shè)備可以通過(guò)其執(zhí)行應(yīng)用分類和狀態(tài)數(shù)據(jù)初始化并將得到的會(huì)話數(shù)據(jù)的部分輸出到另一設(shè)備的示例過(guò)程的流程圖。圖5是示出根據(jù)本公開(kāi)的一種或多種技術(shù)的設(shè)備可以在利用由另一設(shè)備共享的會(huì)話數(shù)據(jù)的同時(shí)執(zhí)行應(yīng)用分類和狀態(tài)數(shù)據(jù)初始化的示例過(guò)程的流程圖。具體實(shí)施方式圖1a是示出包括配置為在虛擬專用局域網(wǎng)服務(wù)(vpls)網(wǎng)絡(luò)10(以下稱為“網(wǎng)絡(luò)10”)中接收和發(fā)送數(shù)據(jù)分組的下一代防火墻系統(tǒng)12a-12c(“ngfw12”)的示例計(jì)算機(jī)網(wǎng)絡(luò)的框圖。例如，網(wǎng)絡(luò)10可以是企業(yè)網(wǎng)絡(luò)、校園網(wǎng)絡(luò)、服務(wù)供應(yīng)商網(wǎng)絡(luò)、家庭網(wǎng)絡(luò)或另一自治系統(tǒng)。站點(diǎn)網(wǎng)絡(luò)15a-15c(“站點(diǎn)網(wǎng)絡(luò)15”)中的每一個(gè)可以包括在特定站點(diǎn)(例如企業(yè)的企業(yè)或衛(wèi)星位置)處的一個(gè)或多個(gè)局域網(wǎng)(lan)連接設(shè)備。在vpls實(shí)例中，ngfw12可以跨網(wǎng)絡(luò)10提供邏輯互連，使得包括在特定vpls實(shí)例中的站點(diǎn)網(wǎng)絡(luò)15的客戶邊緣(ce)設(shè)備14a-14c(“ce設(shè)備14”)顯得通過(guò)單個(gè)lan連接。以這種方式，位于遠(yuǎn)程的對(duì)等體16可以經(jīng)由計(jì)算機(jī)網(wǎng)絡(luò)10上的仿真lan并使用服務(wù)器18，從而安全地共享數(shù)據(jù)。對(duì)等體16中的每一個(gè)可以表示一個(gè)或多個(gè)設(shè)備，其可操作以使用各種點(diǎn)對(duì)點(diǎn)(“p2p”)應(yīng)用(例如和各種其它的應(yīng)用)來(lái)共享數(shù)據(jù)。站點(diǎn)網(wǎng)絡(luò)15可以各自包括多個(gè)客戶或訂戶設(shè)備，例如臺(tái)式計(jì)算機(jī)、膝上型計(jì)算機(jī)、工作站、無(wú)線設(shè)備、網(wǎng)絡(luò)就緒設(shè)備、文件服務(wù)器、打印服務(wù)器或其它設(shè)備。在一些情況下，遠(yuǎn)程站點(diǎn)可以配置為支持多播流量，例如因特網(wǎng)協(xié)議電視(iptv)、桌面會(huì)議、公司廣播、音樂(lè)和視頻網(wǎng)絡(luò)廣播以及其它形式的多媒體內(nèi)容。例如，連接到站點(diǎn)網(wǎng)絡(luò)15a的源16可以包括多播流量的源服務(wù)器，并且連接到站點(diǎn)網(wǎng)絡(luò)15b-15e的對(duì)等體16可以包括多播流量的訂戶設(shè)備。ce設(shè)備14可以是用于它們各自的網(wǎng)絡(luò)站點(diǎn)15的第三層(l3)路由設(shè)備。如圖1所示，ce設(shè)備14中的每一個(gè)連接到對(duì)等體16中的相應(yīng)的一個(gè)。例如，如果對(duì)等體16a對(duì)接收多播組的流量感興趣，則ce設(shè)備14a可以在vpls中向源16發(fā)送控制消息，請(qǐng)求加入多播組。ngfw12還可以作為網(wǎng)絡(luò)交換設(shè)備操作，并且同與特定vpls實(shí)例相關(guān)聯(lián)的其它供應(yīng)商邊緣(“pe”)設(shè)備建立全網(wǎng)狀連接。ngfw12表示根據(jù)本公開(kāi)的一個(gè)或多個(gè)方面的安全設(shè)備的示例。這樣，ngfw12中的任何一個(gè)或多個(gè)在本文中可以被稱為“安全設(shè)備”。在一些示例中，任何ngfw12可以包括各自的入侵檢測(cè)和防止系統(tǒng)(idps)，或者idps在任何ngfw12中是可行的。在一些情況下，ngfw12可以是配置為作為vpls實(shí)例的第二層(l2)交換設(shè)備操作的第三層(l3)路由設(shè)備。ngfw12配置為在包括在用于vpls實(shí)例中的ce設(shè)備14之間跨計(jì)算機(jī)網(wǎng)絡(luò)10轉(zhuǎn)發(fā)流量。根據(jù)本公開(kāi)的技術(shù)，ngfw12不需要保持或共享任何路由信息。相反，ngfw12可以基于從pimhello消息窺探的信息和在ce設(shè)備14之間發(fā)送的pim控制消息來(lái)檢查并選擇性地轉(zhuǎn)發(fā)用于vpls實(shí)例的流量。在如圖1所示的示例中，ngfw12經(jīng)由附接電路(ac)端口13a-13e(“ac端口13”)連接到每個(gè)ce設(shè)備14。根據(jù)各種分組流檢查技術(shù)，安全設(shè)備(例如ngfw設(shè)備)可以花費(fèi)大量的計(jì)算資源來(lái)執(zhí)行應(yīng)用分類。通常執(zhí)行應(yīng)用分類(也稱為應(yīng)用標(biāo)識(shí))以便為了用于入侵檢測(cè)和防止的目的選擇適當(dāng)?shù)暮灻＠?，?yīng)用分類有助于檢測(cè)來(lái)自應(yīng)用層數(shù)據(jù)的惡意活動(dòng)。更具體地，不同的應(yīng)用具有不同的簽名，并且因此，適用于檢測(cè)到的用于會(huì)話的應(yīng)用的簽名被應(yīng)用于該特定會(huì)話的應(yīng)用層數(shù)據(jù)。在p2p場(chǎng)景中，相對(duì)于p2p分組流(例如，對(duì)等體16中的兩個(gè)之間的分組流)，每個(gè)單獨(dú)的ngfw可以獨(dú)立地消耗大量的計(jì)算資源以執(zhí)行應(yīng)用分類。此外，在一些情況下，p2p流量(例如會(huì)話上的流量)被加密。在這些情況下，由于處理加密數(shù)據(jù)的額外復(fù)雜性，ngfw執(zhí)行應(yīng)用分類所消耗的資源甚至可能大于流量未加密時(shí)所消耗的資源。為了初始化用于p2p會(huì)話的狀態(tài)信息，ngfw可以將解封裝的會(huì)話請(qǐng)求的部分轉(zhuǎn)發(fā)到p2p服務(wù)器(例如服務(wù)器18)。進(jìn)而，p2p服務(wù)器(在該示例中的服務(wù)器18)使用接收到的信息來(lái)確定哪個(gè)對(duì)等設(shè)備能夠滿足在p2p會(huì)話請(qǐng)求中指定的需求。例如，p2p服務(wù)器(例如，服務(wù)器18)可以通過(guò)日志進(jìn)行迭代，或者可以ping每個(gè)對(duì)等體(除了發(fā)起會(huì)話請(qǐng)求的對(duì)等設(shè)備之外)，以確定哪些對(duì)等體具有可共享的數(shù)據(jù)以滿足p2p會(huì)話請(qǐng)求的要求。本公開(kāi)的技術(shù)一般涉及跨設(shè)備(例如ngfw12，其可以解釋以公共格式傳送的預(yù)處理的會(huì)話數(shù)據(jù))共享會(huì)話數(shù)據(jù)。通過(guò)在可以解釋公共格式化的數(shù)據(jù)的設(shè)備上共享會(huì)話數(shù)據(jù)，該技術(shù)使得設(shè)備(例如ngfw12)能夠利用先前由彼此生成的應(yīng)用分類信息。因此，該技術(shù)使得p2p會(huì)話管理設(shè)備能夠相關(guān)，從而使得設(shè)備能夠與彼此連接，彼此輸出會(huì)話數(shù)據(jù)并且從彼此收集會(huì)話數(shù)據(jù)。每個(gè)p2p會(huì)話具有唯一的一組信息，并且本公開(kāi)的技術(shù)使得設(shè)備能夠重復(fù)使用會(huì)話唯一信息，以避免冗余處理并且減少帶寬消耗。根據(jù)一些實(shí)施方式，本文描述的技術(shù)使得ngfw12能夠共享關(guān)于特定p2p流的應(yīng)用分類信息和對(duì)等信息，從而減少為相同的p2p流和/或在相反方向的相應(yīng)的p2p流執(zhí)行應(yīng)用分類所花費(fèi)的計(jì)算資源量。根據(jù)所公開(kāi)的技術(shù)的實(shí)施方式，一個(gè)或多個(gè)ngfw12可以彼此共享存在的p2p應(yīng)用分類信息和對(duì)等信息。更具體地，已經(jīng)對(duì)于特定p2p流執(zhí)行應(yīng)用分類的一個(gè)或多個(gè)ngfw12可以使得應(yīng)用分類信息對(duì)剩余的ngfw12可用。例如，ngfw12a可以執(zhí)行關(guān)于特定p2p流的應(yīng)用分類，以獲得會(huì)話信息11a的應(yīng)用分類部分。另外，ngfw12a可以將應(yīng)用分類信息與p2p會(huì)話的對(duì)等信息相關(guān)聯(lián)，以形成會(huì)話信息11a。通過(guò)實(shí)現(xiàn)本公開(kāi)的一個(gè)或多個(gè)技術(shù)，ngfw12a與一個(gè)或多個(gè)其它ngfw12(例如ngfw12b)共享會(huì)話信息11a(其包括應(yīng)用分類信息和對(duì)應(yīng)的對(duì)等信息)。根據(jù)本文描述的技術(shù)的各種實(shí)施方式，ngfw12a配置為通過(guò)會(huì)話信息11a輸出剛好足夠的信息，以使其余的ngfw12能夠服務(wù)于p2p會(huì)話，而不會(huì)重復(fù)ngfw12a已經(jīng)執(zhí)行的關(guān)于p2p會(huì)話的處理。作為示例，ngfw12a配置為生成會(huì)話信息11a，以包括用于p2p會(huì)話的應(yīng)用分類信息和用于p2p會(huì)話的對(duì)應(yīng)的對(duì)等信息。ngfw12a可以緩存包括對(duì)等ip地址和對(duì)等端口的2元組(或者“雙”、“有序?qū)Α被颉榜罱印?的對(duì)等信息作為緩存的會(huì)話信息的一部分。在該示例中，ngfw12a還緩存應(yīng)用分類信息作為用于p2p會(huì)話的緩存的會(huì)話信息的一部分。例如，ngfw12a可以緩存包括與會(huì)話有關(guān)的目的地ip地址、目的地端口、應(yīng)用協(xié)議、應(yīng)用名稱和應(yīng)用分類路徑的6元組(或“六元組”)的應(yīng)用分類信息。另外，ngfw12可以交換對(duì)等信息2元組(以下稱為“元組”)以標(biāo)識(shí)特定分組流以及表示用于分組流的應(yīng)用分類的數(shù)據(jù)。因此，例如，idsp12a可以將對(duì)等信息元組連同應(yīng)用分類一起發(fā)送到ngfw12b，表示與由對(duì)等信息元組標(biāo)識(shí)的分組流相關(guān)聯(lián)的應(yīng)用的分類。對(duì)等信息由第3層(l3)網(wǎng)絡(luò)數(shù)據(jù)表示，而應(yīng)用分類信息由第7層(l7)網(wǎng)絡(luò)數(shù)據(jù)表示。盡管這里相對(duì)于對(duì)等信息元組和應(yīng)用分類信息進(jìn)行描述，但是應(yīng)當(dāng)理解，在其它示例中，ngfw12可以實(shí)現(xiàn)本公開(kāi)的各種技術(shù)，以使用五元組{源ip地址、目的地ip地址、源端口、目的端口、協(xié)議}來(lái)標(biāo)識(shí)分組流，并且還提供對(duì)應(yīng)于該五元組的應(yīng)用分類。根據(jù)本公開(kāi)的一個(gè)或多個(gè)方面，ngfw12a將緩存的會(huì)話信息轉(zhuǎn)換為可以由剩余的ngfw12容易地處理和解釋的格式。例如，ngfw12a可以將緩存的會(huì)話信息轉(zhuǎn)換為因特網(wǎng)協(xié)議流信息輸出(“ipfix”)格式以形成會(huì)話信息11a。在該示例中，ngfw12a將ipfix格式的會(huì)話信息11a輸出到剩余的ngfw12。雖然會(huì)話信息11a在圖1a中示為被發(fā)送到ngfw12b和ngfw12c，但是將理解，ngfw12a可以直接地或者通過(guò)一個(gè)或多個(gè)中間設(shè)備間接地將會(huì)話信息11a輸出到任何數(shù)量的設(shè)備。然而，應(yīng)當(dāng)理解，根據(jù)本文所描述的技術(shù)，ngfw12a可以將會(huì)話信息11a輸出到剩余的ngfw12中的多于一個(gè)。例如，在起始ngfw12不直接連接到ngfw12的任何其它設(shè)備的情況下，ngfw12中的每一個(gè)可以中繼接收到的會(huì)話信息11的部分。接收由另一ngfw12共享的會(huì)話信息11的ngfw12中的任一個(gè)可以實(shí)現(xiàn)本公開(kāi)的各方面，以便在初始化狀態(tài)信息中利用接收到的會(huì)話信息11，用于監(jiān)控對(duì)等體16之間的將來(lái)p2p會(huì)話。例如，ngfw12b利用從ngfw12a接收到的會(huì)話信息11a，來(lái)初始化用于將來(lái)p2p會(huì)話的狀態(tài)信息，該將來(lái)p2p會(huì)話與從其產(chǎn)生會(huì)話信息11a的p2p會(huì)話共享公共對(duì)等信息參數(shù)值。另外，在該示例中，ngfw12b可以通過(guò)重復(fù)使用用于任何分組流(對(duì)于該分組流，對(duì)等信息與會(huì)話信息11的對(duì)等信息匹配)的會(huì)話信息11的應(yīng)用分類來(lái)規(guī)避應(yīng)用分類的過(guò)程。在上述示例中，ngfw12b接收ipfix格式的會(huì)話信息11。根據(jù)該示例，ngfw12b處理和存儲(chǔ)會(huì)話信息11的對(duì)等信息和應(yīng)用分類信息。ngfw12b實(shí)現(xiàn)本公開(kāi)的技術(shù)，以將相同p2p會(huì)話的將來(lái)分組流的對(duì)等信息元組與從會(huì)話信息11提取的存儲(chǔ)的信息進(jìn)行比較，以確定是否對(duì)于接收到的分組流執(zhí)行應(yīng)用分類。更具體地，如果對(duì)等信息元組與會(huì)話信息11的對(duì)等信息元組匹配，或者表示返回分組流，則ngfw12b重復(fù)使用應(yīng)用分類信息，而不執(zhí)行應(yīng)用分類的潛在的大量消耗cpu的過(guò)程。以這種方式，本公開(kāi)的技術(shù)使得ngfw12能夠在保留計(jì)算資源的同時(shí)維持精確的p2p服務(wù)。在一個(gè)示例中，ngfw12b可以從對(duì)等體16b接收p2p分組流。應(yīng)用本公開(kāi)的一個(gè)或多個(gè)技術(shù)，ngfw12b可以將接收到的分組流的特征與從會(huì)話信息11a提取并且本地緩存的會(huì)話數(shù)據(jù)進(jìn)行比較。在該示例中，ngfw12b將接收到的p2p分組流的對(duì)等信息元組與緩存的會(huì)話數(shù)據(jù)中的對(duì)應(yīng)字段進(jìn)行比較。如果對(duì)等信息元組與從會(huì)話信息11提取的緩存的數(shù)據(jù)相匹配，則ngfw12b可以在建立用于監(jiān)控p2p會(huì)話的新的分組流的狀態(tài)信息時(shí)跳過(guò)應(yīng)用分類。另外，如果對(duì)等信息元組與從會(huì)話信息11a提取的緩存的數(shù)據(jù)相匹配，則ngfw12b可以配置用于p2p會(huì)話的新的分組流的狀態(tài)數(shù)據(jù)，而不將該請(qǐng)求轉(zhuǎn)發(fā)到服務(wù)器18。更具體地，如果對(duì)等信息與在緩存的會(huì)話數(shù)據(jù)中反映的對(duì)等信息相匹配，匹配數(shù)據(jù)可以規(guī)避對(duì)ngfw12b從服務(wù)器18請(qǐng)求對(duì)等信息的需要。相反，ngfw12b可以實(shí)現(xiàn)本文公開(kāi)的技術(shù)來(lái)經(jīng)由會(huì)話信息11a利用已經(jīng)由ngfw12a執(zhí)行并共享的p2p會(huì)話配置。本文描述的技術(shù)提供了超過(guò)已知的p2p會(huì)話初始化和應(yīng)用分類技術(shù)的若干潛在優(yōu)點(diǎn)。在上述示例中，ngfw12a使剩余的ngfw12能夠利用ngfw12a從ngfw12a已經(jīng)處理的會(huì)話數(shù)據(jù)形成的應(yīng)用標(biāo)識(shí)或分類信息。因此，如果ngfw12a已經(jīng)執(zhí)行解封裝和解密數(shù)據(jù)的潛在的大量消耗cpu的過(guò)程以形成應(yīng)用分類信息，則ngfw12a可以使得一個(gè)或多個(gè)其它ngfw12能夠避免應(yīng)用分類處理的重復(fù)。另外，ngfw12a可以將輸出的會(huì)話信息限制為僅包括用于剩余的ngfw12的足夠的數(shù)據(jù)以規(guī)避應(yīng)用分類和對(duì)等信息獲取操作。以這種方式，本公開(kāi)的技術(shù)使得ngfw12a能夠在通過(guò)僅將最小所需量的數(shù)據(jù)轉(zhuǎn)換為ipfix格式來(lái)節(jié)省計(jì)算資源的同時(shí)，與剩余的ngfw12共享會(huì)話信息。該技術(shù)還使得ngfw12a能夠在節(jié)省網(wǎng)絡(luò)帶寬的同時(shí)，共享會(huì)話信息11a，這是因?yàn)閚gfw12a僅使用最小所需數(shù)量的數(shù)據(jù)來(lái)生成會(huì)話信息11a，以使剩余的ngfw12能夠規(guī)避在已知的p2p技術(shù)下反而將執(zhí)行的應(yīng)用分類和對(duì)等信息獲取操作。類似地，本發(fā)明的技術(shù)在接收ngfw時(shí)也提供若干潛在優(yōu)點(diǎn)。在上述示例中，ngfw12b在仍然服務(wù)于從對(duì)等體16b接收的p2p會(huì)話請(qǐng)求的同時(shí)，利用會(huì)話信息11a來(lái)規(guī)避應(yīng)用分類和對(duì)等信息獲取操作。以這種方式，本公開(kāi)的技術(shù)使得ngfw12b能夠節(jié)省ngfw12b將在其他的情況下消耗來(lái)執(zhí)行對(duì)于p2p會(huì)話請(qǐng)求和用于p2p會(huì)話中的分組流的應(yīng)用分類的計(jì)算資源。更具體地，ngfw12b將從對(duì)等體16接收到的對(duì)等信息元組和p2p請(qǐng)求的應(yīng)用分類信息與從會(huì)話信息11a提取的緩存的會(huì)話數(shù)據(jù)進(jìn)行比較，并且如果所有比較數(shù)據(jù)匹配，則在建立p2p會(huì)話中重復(fù)使用從會(huì)話信息11a提取的應(yīng)用分類數(shù)據(jù)。因此，ngfw12b通過(guò)實(shí)施本公開(kāi)的技術(shù)來(lái)避免在某些情況下的應(yīng)用分類的潛在的大量消耗資源的過(guò)程。另外，本發(fā)明的技術(shù)使得ngfw12b在p2p請(qǐng)求的信息與從會(huì)話信息11a提取的緩存的會(huì)話數(shù)據(jù)匹配的情況下，能夠通過(guò)不從服務(wù)器18獲得對(duì)等信息而建立p2p會(huì)話來(lái)節(jié)省網(wǎng)絡(luò)帶寬。下面描述根據(jù)本公開(kāi)的方面的p2p會(huì)話管理的示例過(guò)程。首先，ngfw12a從對(duì)等體16a接收去往對(duì)等體16b的分組流。進(jìn)而，ngfw12a基于分組流的一個(gè)或多個(gè)分組的內(nèi)容確定用于分組流的應(yīng)用分類。例如，ngfw12a可以對(duì)一個(gè)或多個(gè)分組的數(shù)據(jù)進(jìn)行解封裝和解密(例如，經(jīng)由深度分組檢查)以確定應(yīng)用分類信息。在該示例中，ngfw12a然后將表示應(yīng)用分類信息的數(shù)據(jù)(例如，目的地ip地址、目的地端口、應(yīng)用協(xié)議、應(yīng)用名稱和應(yīng)用分類路徑的6元組)發(fā)送到12b。另外，ngfw12a還可以基于應(yīng)用分類來(lái)確定分組流的任何分組是否是惡意的。例如，ngfw12a可以基于應(yīng)用分類來(lái)選擇用于檢測(cè)惡意應(yīng)用活動(dòng)的簽名。如果確定分組不是惡意的，則ngfw12a然后將分組流的分組轉(zhuǎn)發(fā)到ngfw12b。在該示例中，ngfw12b表示沿分組流到對(duì)等體16b的路由的“下一跳”。進(jìn)而，ngfw12b經(jīng)由客戶邊緣14b和站點(diǎn)15b將分組流的分組轉(zhuǎn)發(fā)到對(duì)等體16b。根據(jù)p2p會(huì)話，ngfw12b可以從對(duì)等體16b接收去往對(duì)等體16a的返回分組流。返回分組流可以表示作為相同p2p會(huì)話的一部分的來(lái)自對(duì)等體16b的響應(yīng)。實(shí)現(xiàn)本公開(kāi)的一個(gè)或多個(gè)技術(shù)，ngfw12b可以使用應(yīng)用分類信息來(lái)確定從16b到16a的返回分組流的分組是否是惡意的。如果返回分組流的分組被確定為不是惡意的，則ngfw12b可以經(jīng)由ngfw12a將返回分組流的分組轉(zhuǎn)發(fā)到對(duì)等體16a。圖1b是示出在對(duì)等體16a和16b之間已經(jīng)建立p2p會(huì)話之后的網(wǎng)絡(luò)10的框圖。在一些示例中，ngfw12b可以從對(duì)等體16b接收與對(duì)等體16a建立p2p會(huì)話(例如，會(huì)話)的請(qǐng)求。如上所述，ngfw12b可以將包括在p2p分組流中的信息與從圖1a所示的會(huì)話信息11a提取的會(huì)話數(shù)據(jù)進(jìn)行比較。如果對(duì)等信息元組與從會(huì)話信息11a提取的會(huì)話數(shù)據(jù)的對(duì)等信息元組匹配，則ngfw12b可以初始化用于監(jiān)控p2p會(huì)話的狀態(tài)信息，而不執(zhí)行應(yīng)用分類，并且不從服務(wù)器18請(qǐng)求對(duì)等信息。相反，ngfw12b可以通過(guò)從提取的會(huì)話數(shù)據(jù)復(fù)制應(yīng)用分類信息來(lái)為p2p會(huì)話分配應(yīng)用分類。另一方面，如果p2p請(qǐng)求與從會(huì)話信息11a提取的會(huì)話數(shù)據(jù)或與用于會(huì)話(其中已經(jīng)對(duì)該會(huì)話執(zhí)行了應(yīng)用分類)的其它共享/緩存的會(huì)話數(shù)據(jù)不匹配，則ngfw12b可以從開(kāi)始就初始化狀態(tài)信息并執(zhí)行用于p2p會(huì)話的應(yīng)用分類。例如，ngfw12b可以通過(guò)從接收到的p2p請(qǐng)求解封裝數(shù)據(jù)、對(duì)數(shù)據(jù)進(jìn)行解密以標(biāo)識(shí)應(yīng)用和存儲(chǔ)應(yīng)用分類信息(例如，到ngfw12b的專用卡)來(lái)執(zhí)行應(yīng)用分類。另外，ngfw20可以將解封裝的請(qǐng)求數(shù)據(jù)的部分轉(zhuǎn)發(fā)到服務(wù)器18。反過(guò)來(lái)，服務(wù)器18可以使用接收到的信息來(lái)確定對(duì)等體16中的哪個(gè)對(duì)等設(shè)備能夠滿足p2p會(huì)話請(qǐng)求中指定的需要。例如，服務(wù)器18可以遍歷日志、或者可以ping每個(gè)對(duì)等體16(除了對(duì)等體16b)，以確定哪些對(duì)等體16具有對(duì)等體16b請(qǐng)求的可共享數(shù)據(jù)。在圖1b的示例中，服務(wù)器18可以將對(duì)等體16a標(biāo)識(shí)為與用于請(qǐng)求的p2p會(huì)話的對(duì)等體16b配對(duì)的對(duì)等體。在標(biāo)識(shí)會(huì)話的p2p請(qǐng)求的示例中，服務(wù)器18可以確定對(duì)等體16a具有可用于共享的請(qǐng)求內(nèi)容，并且對(duì)等體16a滿足其它要求(例如，連接速度等)以滿足請(qǐng)求。不管p2p會(huì)話是基于具有共享和緩存的會(huì)話數(shù)據(jù)的匹配請(qǐng)求信息而建立的，還是基于沒(méi)能將請(qǐng)求數(shù)據(jù)與任何緩存的會(huì)話數(shù)據(jù)匹配而新建立的，ngfw12a和12b可以服務(wù)在從對(duì)等體16a到對(duì)等體16b之間的分組流19。經(jīng)由分組流19，對(duì)等體16a和16b可以參與p2p會(huì)話。在上述示例中，對(duì)等體16a可以通過(guò)會(huì)話填充來(lái)自對(duì)等體16b的數(shù)據(jù)共享請(qǐng)求。圖1c是示出根據(jù)本公開(kāi)的一個(gè)或多個(gè)方面的ngfw12可以實(shí)現(xiàn)的聯(lián)合策略執(zhí)行的框圖。圖1c示出了服務(wù)器18可以提供給對(duì)等設(shè)備16a的對(duì)等交換數(shù)據(jù)2和對(duì)等設(shè)備16b可以發(fā)送到服務(wù)器18的p2p請(qǐng)求4。例如，對(duì)等設(shè)備16a可以向服務(wù)器18發(fā)送p2p請(qǐng)求，以經(jīng)由與另一個(gè)對(duì)等設(shè)備16的p2p會(huì)話請(qǐng)求數(shù)字內(nèi)容。作為響應(yīng)，服務(wù)器18可以向?qū)Φ仍O(shè)備提供對(duì)等交換數(shù)據(jù)2a，以指示可以滿足p2p請(qǐng)求的用于其它對(duì)等設(shè)備16的ip地址和端口信息。ngfw12a可以被動(dòng)地監(jiān)控或“窺探”對(duì)等交換數(shù)據(jù)2的內(nèi)容，以預(yù)先確定與ngfw12a可以關(guān)于所得到的p2p會(huì)話確定的應(yīng)用分類數(shù)據(jù)匹配的對(duì)等信息。例如，如果對(duì)等交換數(shù)據(jù)指示對(duì)應(yīng)于對(duì)等設(shè)備16b的目的地ip地址，則ngfw12a可以將對(duì)等設(shè)備16b的ip地址和端口號(hào)進(jìn)行分組，該端口號(hào)用應(yīng)用分類信息在與所得到的分組流相關(guān)聯(lián)的對(duì)等交換數(shù)據(jù)2中標(biāo)識(shí)，該應(yīng)用分類信息是ngfw12a關(guān)于所得到的p2p會(huì)話確定的應(yīng)用分類信息。進(jìn)而，ngfw12a可以將對(duì)等信息元組和應(yīng)用分類信息(例如，目的地ip地址、目的地端口、應(yīng)用協(xié)議、應(yīng)用名稱和應(yīng)用分類路徑的6元組)分發(fā)給剩余的ngfw12。進(jìn)而，剩余的ngfw12可以關(guān)于具有匹配的對(duì)等信息的將來(lái)分組流以聯(lián)合方式執(zhí)行全網(wǎng)絡(luò)的策略。例如，網(wǎng)絡(luò)10的管理員可以相對(duì)于由服務(wù)器18管理的p2p應(yīng)用設(shè)置某些策略。如果例如ngfw12b從對(duì)等設(shè)備16b接收p2p請(qǐng)求4，則ngfw12b可以將p2p請(qǐng)求4標(biāo)識(shí)為與應(yīng)用了對(duì)等交換數(shù)據(jù)2應(yīng)用的p2p會(huì)話相關(guān)聯(lián)。更具體地，基于對(duì)等設(shè)備16b的ip地址和與對(duì)等交換數(shù)據(jù)2的對(duì)應(yīng)部分匹配的端口號(hào)，ngfw12b可以確定p2p請(qǐng)求4與從對(duì)等交換數(shù)據(jù)2得到的p2p會(huì)話相關(guān)聯(lián)。反過(guò)來(lái)，ngfw12b可以自動(dòng)地將應(yīng)用于分類或標(biāo)識(shí)的應(yīng)用的策略應(yīng)用于從p2p請(qǐng)求4產(chǎn)生的p2p會(huì)話。例如，網(wǎng)絡(luò)10的管理員可以設(shè)置ngfw12要阻止、丟棄或拒絕所有p2p流量的規(guī)則。在該示例中，ngfw12b可以基于由ngfw12a從對(duì)等交換數(shù)據(jù)2上窺探而散布的數(shù)據(jù)來(lái)識(shí)別p2p請(qǐng)求4與p2p應(yīng)用相關(guān)聯(lián)。更具體地，通過(guò)在對(duì)等交換數(shù)據(jù)2上窺探，ngfw12a可以確定服務(wù)器18的ip地址和服務(wù)器18的特定端口號(hào)與p2p應(yīng)用相關(guān)聯(lián)。ngfw12a可以將p2p應(yīng)用標(biāo)識(shí)連同ip地址和端口號(hào)一起分發(fā)給剩余的ngfw12。進(jìn)而，ngfw12b可以響應(yīng)于確定目的地ip地址與服務(wù)器18的ip地址匹配以及確定目的地端口號(hào)與服務(wù)器18提供的p2p服務(wù)匹配，而通過(guò)丟棄p2p請(qǐng)求4來(lái)執(zhí)行網(wǎng)絡(luò)10的“阻止”策略。以這種方式，ngfw12可以實(shí)現(xiàn)本公開(kāi)的技術(shù)，以便以更有效地執(zhí)行全網(wǎng)絡(luò)的策略的方式來(lái)共享和利用應(yīng)用分類信息。例如，每個(gè)ngfw12可以利用共享的應(yīng)用分類信息來(lái)確定應(yīng)用于所請(qǐng)求的會(huì)話或特定分組流的全網(wǎng)絡(luò)的策略信息。進(jìn)而，每個(gè)ngfw12可以相對(duì)于所請(qǐng)求的會(huì)話或分組流執(zhí)行網(wǎng)絡(luò)策略，而不從頭開(kāi)始執(zhí)行潛在的大量消耗cpu的應(yīng)用分類。圖2是示出ngfw20的示例的框圖。ngfw20是圖1中所示的ngfw12中的任一個(gè)的示例實(shí)施方式。在所示示例中，ngfw20包括轉(zhuǎn)發(fā)平面22，其透明地監(jiān)控入站網(wǎng)絡(luò)流量24并將網(wǎng)絡(luò)流量轉(zhuǎn)發(fā)作為出站網(wǎng)絡(luò)流量26。在圖2所示的示例中，轉(zhuǎn)發(fā)平面22包括流分析模塊25、狀態(tài)檢查引擎28、多個(gè)協(xié)議解碼器30和轉(zhuǎn)發(fā)組件31。ngfw20還包括聯(lián)合應(yīng)用分類模塊46和安全管理模塊44。圖2的ngfw20的示例實(shí)施方式將ngfw20示為單個(gè)網(wǎng)絡(luò)設(shè)備，例如圖1中所示的ngfw12之一。然而，應(yīng)當(dāng)理解，在本文所描述的各種功能也可以以各種實(shí)施方式分布在多個(gè)設(shè)備上。另外，為了示例的目的關(guān)于p2p通信描述了圖2的方面的同時(shí)，應(yīng)當(dāng)理解，ngfw20及其組件可以實(shí)現(xiàn)本公開(kāi)的技術(shù)來(lái)處理各種其它類型的通信會(huì)話。圖2的ngfw20的實(shí)施方式還包括控制平面23。控制平面23包括安全管理模塊44、聯(lián)合應(yīng)用分類模塊46、數(shù)據(jù)庫(kù)48和路由引擎50。安全管理模塊44呈現(xiàn)用戶界面，管理員42通過(guò)該界面配置ngfw20。例如，管理員42可以配置ngfw20以監(jiān)控企業(yè)網(wǎng)絡(luò)的特定子網(wǎng)。另外，安全管理模塊44呈現(xiàn)用戶界面，管理員42可以通過(guò)該用戶界面指定一個(gè)或多個(gè)網(wǎng)絡(luò)策略39，安全管理模塊44將該網(wǎng)絡(luò)策略39中繼到狀態(tài)檢查引擎28。此外，安全管理模塊44可以呈現(xiàn)用戶界面，管理員42可以通過(guò)該用戶界面修改關(guān)于分組流特性的設(shè)想，例如用于監(jiān)控的最高優(yōu)先級(jí)分組流、用于應(yīng)用的端口綁定或者確定與分組流相關(guān)聯(lián)的應(yīng)用和協(xié)議類型的其它特征。安全管理模塊44還可以呈現(xiàn)用戶界面，管理員42可以通過(guò)該用戶界面來(lái)創(chuàng)建、加載、更新、修改、檢索或存儲(chǔ)應(yīng)用樹(shù)，例如圖4的應(yīng)用樹(shù)70。流分析模塊25接收入站流量24并標(biāo)識(shí)流量?jī)?nèi)的分組流。每個(gè)分組流表示在網(wǎng)絡(luò)流量?jī)?nèi)的一個(gè)方向上的分組流，并且至少由源地址、目的地地址和通信協(xié)議來(lái)標(biāo)識(shí)。流分析模塊25可以利用附加信息來(lái)指定分組流，包括源媒體訪問(wèn)控制(mac)地址、目的地mac地址、源端口和目的地端口。其它示例可以使用其它信息來(lái)標(biāo)識(shí)分組流，例如ip地址和/或協(xié)議。流分析模塊25保持流表35內(nèi)的描述網(wǎng)絡(luò)流量?jī)?nèi)存在的每個(gè)活動(dòng)分組流的數(shù)據(jù)。流表35指定與每個(gè)活動(dòng)分組流相關(guān)聯(lián)的網(wǎng)絡(luò)元素，即低級(jí)信息，例如源和目的地設(shè)備以及與分組流相關(guān)聯(lián)的端口。另外，流表35可以標(biāo)識(shí)共同形成客戶端和服務(wù)器之間的單個(gè)通信會(huì)話的分組流的對(duì)。例如，流表35可以針對(duì)共享至少一些公共網(wǎng)絡(luò)地址、端口和協(xié)議的流，將通信會(huì)話指定為相反方向上的分組流對(duì)。狀態(tài)檢查引擎28可以檢查分組流以確定與分組流相關(guān)聯(lián)的應(yīng)用的標(biāo)識(shí)。狀態(tài)檢查引擎28可以進(jìn)一步確定單個(gè)應(yīng)用是否與分組流相關(guān)聯(lián)，或者應(yīng)用是否使用另一個(gè)應(yīng)用作為傳輸。具體地，狀態(tài)檢查引擎28分析分組流以試圖標(biāo)識(shí)最初產(chǎn)生分組流的l7處的應(yīng)用堆棧中的每個(gè)應(yīng)用。除了簽名，ngfw20可以使用重新組合的tcp片段的最小數(shù)據(jù)大小，以便標(biāo)識(shí)應(yīng)用的類型。某些應(yīng)用可能需要最小量的數(shù)據(jù)，因此ngfw20可以通過(guò)確定分組流是否包含用于所標(biāo)識(shí)的協(xié)議的足夠的數(shù)據(jù)來(lái)區(qū)分惡意分組流。此外，ngfw20可能不必識(shí)別每個(gè)應(yīng)用。根據(jù)現(xiàn)有網(wǎng)絡(luò)管理技術(shù)，可用網(wǎng)絡(luò)帶寬的很大部分由用于內(nèi)容傳送、下載和共享文件(例如視頻文件、音頻文件等)的p2p應(yīng)用(例如ares、mute、gnuetella、directconnect和qvod)消耗。此外，用于這種p2p應(yīng)用的應(yīng)用分類過(guò)程可能在供應(yīng)商邊緣設(shè)備處消耗大量的cpu周期。聯(lián)合應(yīng)用分類模塊46和路由引擎50可以實(shí)現(xiàn)本公開(kāi)的技術(shù)以節(jié)省cpu周期，從而在保持應(yīng)用分類的準(zhǔn)確性的同時(shí)提高性能。例如，聯(lián)合應(yīng)用分類模塊46和路由引擎50可以減少調(diào)用狀態(tài)檢查引擎28以對(duì)p2p分組流執(zhí)行應(yīng)用分類的實(shí)例的數(shù)量。另外，聯(lián)合應(yīng)用分類模塊46和路由引擎50可以通過(guò)實(shí)現(xiàn)本文公開(kāi)的一個(gè)或多個(gè)技術(shù)來(lái)提高網(wǎng)絡(luò)性能。促進(jìn)文件共享的p2p應(yīng)用的類型影響網(wǎng)絡(luò)性能并且對(duì)網(wǎng)絡(luò)性能造成損害。因此，組織的管理員可能希望在不損害網(wǎng)絡(luò)性能的同時(shí)，保持對(duì)組織的網(wǎng)絡(luò)的控制。在許多情況下，網(wǎng)絡(luò)管理員為p2p應(yīng)用程序設(shè)置阻止、拒絕或速率限制的規(guī)則，以便網(wǎng)絡(luò)性能和帶寬保持受到控制。在一些網(wǎng)絡(luò)部署中，采用了大量設(shè)備，并且每個(gè)設(shè)備執(zhí)行類似的功能。這樣的功能的示例包括應(yīng)用分類、提取和存儲(chǔ)用于通信會(huì)話的狀態(tài)數(shù)據(jù)初始化所需的信息(例如，對(duì)等信息)。然后，設(shè)備基于應(yīng)用分類執(zhí)行策略，并為會(huì)話實(shí)施策略驅(qū)動(dòng)操作。根據(jù)本公開(kāi)的技術(shù)，網(wǎng)絡(luò)中的ngfw(例如ngfw12)配置為協(xié)作設(shè)備，使得ngfw12可以通過(guò)使用ipfix或類似協(xié)議的網(wǎng)絡(luò)彼此發(fā)送或接收上述信息。聯(lián)合應(yīng)用分類模塊46配置為實(shí)現(xiàn)本公開(kāi)的一種或多種技術(shù)，以利用從位于網(wǎng)絡(luò)10的供應(yīng)商邊緣處的其它ngfw設(shè)備接收的應(yīng)用分類信息和對(duì)等信息，以在減少資源消耗以實(shí)現(xiàn)相同的結(jié)果的同時(shí)獲得應(yīng)用信息。例如，聯(lián)合應(yīng)用分類模塊46可以接收應(yīng)用分類(例如，目的地ip地址、目的地端口、應(yīng)用協(xié)議、應(yīng)用名稱和應(yīng)用分類路徑的6元組)信息和對(duì)應(yīng)的(由對(duì)等ip地址和ipfix格式的對(duì)等體組成的)對(duì)等信息元組。在一些示例中，對(duì)等信息元組由用于p2p會(huì)話的對(duì)等ip地址和對(duì)等端口組成。聯(lián)合應(yīng)用分類模塊46實(shí)施本發(fā)明的技術(shù)以從所接收的數(shù)據(jù)(例如來(lái)自圖1中所示的會(huì)話信息11)提取對(duì)等信息元組和應(yīng)用程序分類信息。進(jìn)而，聯(lián)合應(yīng)用分類模塊46配置為在ngfw20本地緩存提取的對(duì)等信息元組和應(yīng)用分類信息。例如，聯(lián)合應(yīng)用分類模塊46可以將提取的對(duì)等信息元組和應(yīng)用分類存儲(chǔ)到ngfw20的數(shù)據(jù)庫(kù)48中。通過(guò)將提取的對(duì)等信息和應(yīng)用分類信息(統(tǒng)稱為“會(huì)話數(shù)據(jù)”)存儲(chǔ)到數(shù)據(jù)庫(kù)48，聯(lián)合應(yīng)用分類模塊46使得ngfw20能夠重復(fù)使用緩存的會(huì)話數(shù)據(jù)來(lái)更新在相同的兩個(gè)對(duì)等體之間正在進(jìn)行的p2p會(huì)話的狀態(tài)信息。類似的，聯(lián)合應(yīng)用分類模塊46可以確定用于相應(yīng)分組流的應(yīng)用先前是否由不同的ngfw標(biāo)識(shí)。以這種方式，聯(lián)合應(yīng)用分類模塊實(shí)現(xiàn)本公開(kāi)的一個(gè)或多個(gè)方面，以節(jié)省計(jì)算資源和網(wǎng)絡(luò)帶寬，同時(shí)保持用于p2p會(huì)話初始化的狀態(tài)信息的準(zhǔn)確性。進(jìn)而，ngfw20可以實(shí)現(xiàn)本公開(kāi)的技術(shù)以將緩存的會(huì)話數(shù)據(jù)中繼到相同網(wǎng)絡(luò)(例如，圖1的網(wǎng)絡(luò)10)中的其它ngfw設(shè)備。例如，ngfw20的路由引擎50可以從數(shù)據(jù)庫(kù)48獲得緩存的會(huì)話數(shù)據(jù)。根據(jù)該示例，在路由引擎50上執(zhí)行的守護(hù)進(jìn)程將獲得的會(huì)話數(shù)據(jù)的對(duì)等信息元組和應(yīng)用分類信息6元組轉(zhuǎn)換成ipfix格式。進(jìn)而，聯(lián)合應(yīng)用分類模塊46可以將ipfix格式的會(huì)話數(shù)據(jù)輸出到網(wǎng)絡(luò)中的不直接連接到向ngfw20提供會(huì)話數(shù)據(jù)的ngfw的其它ngfw。在一些情況下，始發(fā)ngfw可以將ipfix格式的會(huì)話數(shù)據(jù)傳播到網(wǎng)絡(luò)中的所有ngfw，其中ngfw20可以附帶地轉(zhuǎn)發(fā)到一個(gè)或多個(gè)ngfw。然后，其它ngfw可以從接收自ngfw20的ipfix格式的信息中提取會(huì)話數(shù)據(jù)，并且使用會(huì)話數(shù)據(jù)來(lái)初始化具有匹配的會(huì)話數(shù)據(jù)的將來(lái)p2p會(huì)話的狀態(tài)信息。以這種方式，聯(lián)合應(yīng)用分類模塊46實(shí)現(xiàn)本公開(kāi)的一種或多種技術(shù)，以使得網(wǎng)絡(luò)中的其它ngfw能夠在初始化用于監(jiān)控將來(lái)的p2p會(huì)話的狀態(tài)信息中利用預(yù)處理的會(huì)話信息。例如，聯(lián)合應(yīng)用分類模塊46促進(jìn)在不彼此直接連接的ngfw之間共享預(yù)處理的會(huì)話數(shù)據(jù)。在ngfw20執(zhí)行應(yīng)用分類并初始化用于監(jiān)控p2p會(huì)話的狀態(tài)信息的情況下，聯(lián)合應(yīng)用分類模塊46實(shí)現(xiàn)本公開(kāi)的技術(shù)來(lái)緩存和輸出生成的應(yīng)用分類信息(例如，目的地ip地址、目的地端口、應(yīng)用協(xié)議、應(yīng)用名稱和應(yīng)用分類路徑的6元組)到網(wǎng)絡(luò)10中的其它ngfw。在一些情況下，p2p分組流對(duì)于聯(lián)合應(yīng)用分類模塊46可以是“新的”，因?yàn)槁?lián)合應(yīng)用分類模塊46可能沒(méi)有訪問(wèn)與(從下游設(shè)備接收的p2p分組流的對(duì)等信息元組匹配的)先前處理的會(huì)話信息。作為一個(gè)示例，數(shù)據(jù)庫(kù)48可以不具有在接收p2p分組流時(shí)緩存的任何會(huì)話信息。作為另一示例，數(shù)據(jù)庫(kù)48可以包括從由另一ngfw共享的會(huì)話信息提取的一些預(yù)處理的會(huì)話數(shù)據(jù)，例如圖1所示的會(huì)話信息11a。然而，在該示例中，可應(yīng)用于p2p分組流的對(duì)等信息元組可能不與先前緩存在數(shù)據(jù)庫(kù)48中的任何會(huì)話數(shù)據(jù)的對(duì)應(yīng)元組相匹配。在這些情況下，ngfw20的狀態(tài)檢查引擎28針對(duì)接收到的p2p會(huì)話請(qǐng)求執(zhí)行應(yīng)用分類。更具體地，狀態(tài)檢查引擎28解封裝和解密會(huì)話請(qǐng)求的有效載荷以確定應(yīng)用分類27。狀態(tài)檢查引擎28還可以將應(yīng)用分類27傳送到聯(lián)合應(yīng)用分類模塊46。在各種示例中，狀態(tài)檢查引擎28可以將應(yīng)用分類輸出到聯(lián)合應(yīng)用分類模塊，或者可以使應(yīng)用分類27可用于通過(guò)聯(lián)合應(yīng)用分類模塊46的按需檢索。ngfw20還初始化用于在這些情形中監(jiān)控p2p會(huì)話的狀態(tài)信息。如上所述，ngfw20將請(qǐng)求的部分轉(zhuǎn)發(fā)到p2p服務(wù)器，并且接收標(biāo)識(shí)可以滿足p2p會(huì)話請(qǐng)求的對(duì)等設(shè)備的服務(wù)器響應(yīng)。進(jìn)而，ngfw20使用從服務(wù)器接收的對(duì)等信息來(lái)初始化用于p2p會(huì)話的狀態(tài)信息。聯(lián)合應(yīng)用分類模塊46和路由引擎50可以實(shí)現(xiàn)本公開(kāi)的各種技術(shù)，以在初始化用于監(jiān)控將來(lái)p2p會(huì)話的狀態(tài)信息中能夠重復(fù)使用應(yīng)用分類信息和對(duì)等信息(統(tǒng)稱為“會(huì)話數(shù)據(jù)”)。例如，聯(lián)合應(yīng)用分類模塊46可以通過(guò)將會(huì)話數(shù)據(jù)存儲(chǔ)到數(shù)據(jù)庫(kù)48來(lái)緩存生成的會(huì)話數(shù)據(jù)。進(jìn)而，路由引擎50可以以ipfix格式(其可以由位于網(wǎng)絡(luò)的供應(yīng)商邊緣的其它ngfw解釋)打包對(duì)等信息元組和應(yīng)用信息。聯(lián)合應(yīng)用分類模塊46可以獲得ipfix格式的會(huì)話數(shù)據(jù)，并且將會(huì)話數(shù)據(jù)輸出到位于網(wǎng)絡(luò)的供應(yīng)商邊緣處的其它ngfw。應(yīng)當(dāng)理解，路由引擎50可以實(shí)現(xiàn)本公開(kāi)的技術(shù)，以在不同時(shí)間或同時(shí)提取和格式化緩存的應(yīng)用分類信息和緩存的對(duì)等信息。類似地，聯(lián)合應(yīng)用分類模塊可以在不同時(shí)間或同時(shí)輸出ipfix格式的應(yīng)用分類信息6元組和ipfix格式的對(duì)等信息元組。另外，雖然為了說(shuō)明的目的而在此針對(duì)p2p會(huì)話進(jìn)行描述，但是應(yīng)當(dāng)理解，本公開(kāi)的技術(shù)可以使ngfw20能夠緩存和/或輸出用于除了p2p會(huì)話之外的會(huì)話的網(wǎng)絡(luò)會(huì)話數(shù)據(jù)。因此，ngfw20的聯(lián)合應(yīng)用分類模塊46和路由引擎50實(shí)現(xiàn)本公開(kāi)的技術(shù)，以便與同一網(wǎng)絡(luò)中的其它ngfw共享由狀態(tài)檢查引擎28生成的應(yīng)用分類數(shù)據(jù)。通過(guò)共享由狀態(tài)檢查引擎28生成的應(yīng)用分類數(shù)據(jù)，聯(lián)合應(yīng)用分類模塊46和路由引擎50使得網(wǎng)絡(luò)中的其它ngfw能夠標(biāo)識(shí)應(yīng)用，而不消耗在其他情況下將從頭開(kāi)始執(zhí)行應(yīng)用分類所需的計(jì)算資源。相反，接收ngfw可簡(jiǎn)單地將將來(lái)分組流、返回分組流或p2p會(huì)話請(qǐng)求的對(duì)等信息元組與由聯(lián)合應(yīng)用分類模塊46提供的會(huì)話數(shù)據(jù)相關(guān)，并從其推斷應(yīng)用分類信息。另外，通過(guò)共享用于p2p會(huì)話的對(duì)等信息元組，聯(lián)合應(yīng)用分類模塊46和路由引擎50實(shí)現(xiàn)本公開(kāi)的技術(shù)，以使得網(wǎng)絡(luò)中的其它ngfw能夠初始化用于監(jiān)控相同對(duì)等體之間的將來(lái)p2p會(huì)話的狀態(tài)信息，而不需要消耗在其他情況下將需要的計(jì)算資源并消耗在其他情況下將需要的網(wǎng)絡(luò)帶寬。以這種方式，聯(lián)合應(yīng)用分類模塊46和路由引擎50可以實(shí)現(xiàn)本公開(kāi)的技術(shù)，以在保持在對(duì)等設(shè)備之間監(jiān)控通信會(huì)話的魯棒性的同時(shí)，改進(jìn)設(shè)備級(jí)性能度量和網(wǎng)絡(luò)性能。換句話說(shuō)，聯(lián)合應(yīng)用分類模塊46和路由引擎50使得網(wǎng)絡(luò)中的一個(gè)或多個(gè)其它ngfw能夠服務(wù)參與通信會(huì)話的兩個(gè)對(duì)等組(其中每個(gè)對(duì)等體位于多個(gè)最終用戶設(shè)備的上游)。在一些示例中，ngfw20實(shí)現(xiàn)本公開(kāi)的各方面以利用來(lái)自同一網(wǎng)絡(luò)中的其它ngfw的規(guī)則和動(dòng)作信息。例如，ngfw20可以通過(guò)利用從其它ngfw獲得的規(guī)則來(lái)執(zhí)行策略執(zhí)行，而不達(dá)到流量流的應(yīng)用分類的階段。在一個(gè)示例中，ngfw20是學(xué)術(shù)網(wǎng)絡(luò)(例如大學(xué)網(wǎng)絡(luò))的一部分。大學(xué)可以執(zhí)行強(qiáng)制丟棄所有p2p流量的規(guī)則。ngfw20可以實(shí)現(xiàn)本公開(kāi)的技術(shù)，以從網(wǎng)絡(luò)中的其它ngfw獲得“無(wú)p2p”規(guī)則，并且可以自動(dòng)丟棄所有p2p流量。在這種情況下，ngfw20從其它ngfw獲得規(guī)則，并且實(shí)現(xiàn)全網(wǎng)絡(luò)的策略執(zhí)行，而不對(duì)流量流執(zhí)行潛在的大量消耗cpu的應(yīng)用分類。例如，ngfw20可以丟棄任何接收的用于p2p流的ipfix消息，而不提取封裝的會(huì)話信息。ngfw20還可以實(shí)現(xiàn)本公開(kāi)的利用策略執(zhí)行技術(shù)，以針對(duì)用于通信會(huì)話的共享會(huì)話信息實(shí)現(xiàn)“阻止”或“拒絕”規(guī)則。圖3是示出狀態(tài)檢查引擎28的示例實(shí)現(xiàn)的框圖。在圖3所示的示例中，狀態(tài)檢查引擎28包括重組模塊51、應(yīng)用分類模塊53和會(huì)話數(shù)據(jù)輸出模塊52。此外，狀態(tài)檢查引擎28包括數(shù)據(jù)緩沖器55和策略動(dòng)作模塊33。雖然狀態(tài)檢查引擎28及其組件可以實(shí)施本發(fā)明的技術(shù)，以處理各種類型的通信會(huì)話，下面關(guān)于p2p會(huì)話來(lái)描述作為非限制性示例的圖3的方面。重組模塊51接收入站網(wǎng)絡(luò)流量24并從分組流重組應(yīng)用層通信32。重組模塊51將重組的應(yīng)用層通信32轉(zhuǎn)發(fā)到適當(dāng)?shù)膮f(xié)議解碼器30用于處理。應(yīng)用分類模塊53標(biāo)識(shí)用于每個(gè)攔截的通信會(huì)話的應(yīng)用的類型和底層協(xié)議。當(dāng)狀態(tài)檢查引擎28接收到作為分組流的一部分的分組時(shí)，重組模塊51在數(shù)據(jù)緩沖器55中緩沖分組。在一個(gè)示例中，數(shù)據(jù)緩沖器55可以將數(shù)據(jù)存儲(chǔ)作為滑動(dòng)窗口。也就是，數(shù)據(jù)緩沖器55可以存儲(chǔ)數(shù)據(jù)直到變滿或達(dá)到用于標(biāo)識(shí)的指定的所需最小數(shù)據(jù)量。當(dāng)裝滿時(shí)，數(shù)據(jù)緩沖器55丟棄某些數(shù)據(jù)以騰出用于存儲(chǔ)新數(shù)據(jù)的空間。在一個(gè)示例中，數(shù)據(jù)緩沖器55可以根據(jù)先入先出(“fifo”)式協(xié)議存儲(chǔ)和丟棄數(shù)據(jù)，其中，要存儲(chǔ)的第一數(shù)據(jù)是當(dāng)數(shù)據(jù)緩沖器55變滿時(shí)要丟棄的第一數(shù)據(jù)。在另一個(gè)示例中，數(shù)據(jù)緩沖器55可以根據(jù)最近最少使用的協(xié)議丟棄數(shù)據(jù)，其中，當(dāng)數(shù)據(jù)緩沖器55變滿時(shí)，已經(jīng)最近最少使用的分組流將被丟棄以為要存儲(chǔ)的新數(shù)據(jù)騰出空間。在一個(gè)示例中，重組模塊51可以根據(jù)5元組{源ip地址、目的地ip地址、協(xié)議、源端口、目的地端口}將分組流中的分組和作為通信會(huì)話的分組流相關(guān)聯(lián)。其它示例實(shí)施方式可以使用其它形式的關(guān)聯(lián)分組。例如，在一個(gè)實(shí)施方式中，ngfw20可以是利用虛擬局域網(wǎng)(vlan)的網(wǎng)絡(luò)的一部分。因此，重組模塊51可以根據(jù)vlan標(biāo)識(shí)符、源地址和目的地地址來(lái)將分組流中的分組相關(guān)聯(lián)。在任何情況下，重組模塊51可以利用在流表35(圖2)內(nèi)保持的信息來(lái)重組網(wǎng)絡(luò)數(shù)據(jù)，例如以形成重組的tcp數(shù)據(jù)。應(yīng)用分類模塊53分析用于分組流的重組數(shù)據(jù)以標(biāo)識(shí)與分組流相關(guān)聯(lián)的應(yīng)用和協(xié)議的類型。如果應(yīng)用分類模塊53不能分類或標(biāo)識(shí)與分組流相關(guān)聯(lián)的應(yīng)用和協(xié)議的類型，則應(yīng)用分類模塊53可以使用公知的靜態(tài)端口綁定作為默認(rèn)應(yīng)用選擇。下面的表1示出了示例靜態(tài)端口綁定列表。其它實(shí)施方式可以使用靜態(tài)端口列表中更多、更少或不同的條目。此外，管理員42可以使用安全管理模塊44配置靜態(tài)端口映射。雖然表1示出了應(yīng)用分類模塊53可以處理的應(yīng)用的非限制性示例，但是應(yīng)當(dāng)理解，應(yīng)用分類模塊53還可以使用本文描述的技術(shù)來(lái)處理其它應(yīng)用。表1端口應(yīng)用20ftp22ssh23telnet25smtp43whois53dns67bootp或dhcp70gopher79finger80http109pop110pop3113ident/irc118sql119nntp194irc443https445smb564rtsp在應(yīng)用分類模塊53不能分類或標(biāo)識(shí)用于分組流的應(yīng)用和協(xié)議的類型的情況下，應(yīng)用分類模塊53可以使用默認(rèn)靜態(tài)端口映射來(lái)確定應(yīng)用，使得ngfw20相應(yīng)地進(jìn)行響應(yīng)。在一些情況下，應(yīng)用分類模塊53可能不能分類或標(biāo)識(shí)應(yīng)用，并且靜態(tài)端口映射可能不具有用于所請(qǐng)求的端口號(hào)的條目。各種實(shí)現(xiàn)方式可以根據(jù)例如系統(tǒng)管理員的規(guī)范來(lái)處理這種情況。例如，在一個(gè)實(shí)施方式中，ngfw20簡(jiǎn)單地轉(zhuǎn)發(fā)具有未確定的應(yīng)用類型和不能由靜態(tài)端口映射確定的協(xié)議的分組流，因?yàn)槲粗獞?yīng)用可以指示分組流不針對(duì)已知的任何類型的應(yīng)用從而造成安全威脅。在其它示例中，ngfw20可以自動(dòng)丟棄具有未知應(yīng)用類型和不能由靜態(tài)端口映射確定的協(xié)議的分組流。應(yīng)用分類模塊53可以包括類似應(yīng)用類型的分層排序列表。應(yīng)用分類模塊53可以將該列表作為樹(shù)結(jié)構(gòu)存儲(chǔ)在計(jì)算機(jī)可讀介質(zhì)中。安全管理模塊44可以向管理員42提供用戶界面以修改列表的內(nèi)容和層次。在接收到可能屬于若干類似應(yīng)用中的一個(gè)的分組流時(shí)，應(yīng)用分類模塊53可以通過(guò)選擇在分組流對(duì)應(yīng)的列表中指定為最高排序應(yīng)用的應(yīng)用類型來(lái)實(shí)現(xiàn)應(yīng)用和相關(guān)協(xié)議的初步“最佳猜測(cè)”。當(dāng)應(yīng)用分類模塊53接收到關(guān)于分組流的更多信息時(shí)，應(yīng)用分類模塊53可以相應(yīng)地改變?cè)即_定。在確定應(yīng)用之后，應(yīng)用分類模塊53可以緩存該確定以用于后續(xù)比較。根據(jù)本公開(kāi)的方面，會(huì)話數(shù)據(jù)輸出模塊52可以配置為使聯(lián)合應(yīng)用分類模塊46能夠與相同網(wǎng)絡(luò)中的其它ngfw設(shè)備共享會(huì)話數(shù)據(jù)。例如，會(huì)話數(shù)據(jù)輸出模塊52可以實(shí)現(xiàn)本公開(kāi)的一種或多種技術(shù)，以將應(yīng)用分類6元組與用于與網(wǎng)絡(luò)中的其它ngfw設(shè)備共享的對(duì)等信息元組組合。在應(yīng)用分類模塊53確定分組與新會(huì)話相關(guān)聯(lián)的情況下，應(yīng)用分類模塊53可以執(zhí)行深度分組檢查以確定分組流的應(yīng)用分類信息。例如，應(yīng)用分類模塊53可以解封裝、解密和檢查分組流的一個(gè)或多個(gè)數(shù)據(jù)分組的內(nèi)容，以確定應(yīng)用分類。根據(jù)本公開(kāi)的一個(gè)或多個(gè)方面，應(yīng)用分類模塊53使得應(yīng)用分類信息對(duì)聯(lián)合應(yīng)用分類模塊46可用。在一個(gè)示例中，應(yīng)用分類模塊53輸出可用于聯(lián)合應(yīng)用分類模塊46的應(yīng)用分類信息。另一個(gè)示例，應(yīng)用分類模塊53向聯(lián)合應(yīng)用分類模塊46授予對(duì)應(yīng)用分類信息的訪問(wèn)權(quán)，由此使得聯(lián)合應(yīng)用分類模塊46能夠在需要的基礎(chǔ)上主動(dòng)獲得信息。在已經(jīng)為分組流確定了應(yīng)用分類的情況下，重組模塊51可以直接向協(xié)議解碼器30提供應(yīng)用數(shù)據(jù)32，而不調(diào)用應(yīng)用分類模塊53以確定應(yīng)用分類，因?yàn)閼?yīng)用分類信息已經(jīng)可用。根據(jù)本發(fā)明的一個(gè)或多個(gè)方面，策略動(dòng)作模塊33可以配置為基于共享會(huì)話數(shù)據(jù)以聯(lián)合方式執(zhí)行全網(wǎng)絡(luò)策略約束。例如，策略動(dòng)作模塊33可以從安全管理模塊44(圖2)接收一個(gè)或多個(gè)網(wǎng)絡(luò)策略39。進(jìn)而，策略動(dòng)作模塊33可以基于與請(qǐng)求有關(guān)的應(yīng)用分類信息，將預(yù)定的網(wǎng)絡(luò)策略39自動(dòng)應(yīng)用于會(huì)話請(qǐng)求或分組流。在檢測(cè)到安全風(fēng)險(xiǎn)的情況下，狀態(tài)檢查引擎28向安全管理模塊44(圖2)輸出警報(bào)40以記錄和進(jìn)一步分析。狀態(tài)檢查引擎28還可以引導(dǎo)轉(zhuǎn)發(fā)組件31自動(dòng)丟棄與其中檢測(cè)到網(wǎng)絡(luò)攻擊的應(yīng)用層通信相關(guān)聯(lián)的分組流。以這種方式，狀態(tài)檢查引擎28將模式匹配與協(xié)議特定異常分析組合以檢測(cè)復(fù)雜攻擊行為。圖4是示出根據(jù)本公開(kāi)的一種或多種技術(shù)的示例過(guò)程70的流程圖，通過(guò)該示例過(guò)程70，設(shè)備可以執(zhí)行應(yīng)用分類和狀態(tài)數(shù)據(jù)初始化并將得到的會(huì)話數(shù)據(jù)的部分輸出到另一設(shè)備。雖然過(guò)程70可以由各種設(shè)備執(zhí)行(例如定位在網(wǎng)絡(luò)的供應(yīng)商邊緣的設(shè)備)，但是如圖2所示，過(guò)程70在這里被描述為由ngfw20(和/或其組件)執(zhí)行。過(guò)程70可以在ngfw20從下游對(duì)等設(shè)備接收到通信會(huì)話請(qǐng)求時(shí)開(kāi)始(71)。雖然ngfw20可以根據(jù)本公開(kāi)的技術(shù)來(lái)服務(wù)各種類型的通信會(huì)話，但是本文中關(guān)于p2p會(huì)話作為非限制性示例描述了過(guò)程70。進(jìn)而，狀態(tài)檢查引擎28可以關(guān)于接收到的會(huì)話請(qǐng)求執(zhí)行應(yīng)用分類(72)。例如，狀態(tài)檢查引擎28可以解封裝和解密p2p會(huì)話請(qǐng)求的數(shù)據(jù)，以確定用于得到的會(huì)話的任何分組流的應(yīng)用分類信息。另外，狀態(tài)檢查引擎28可以遍歷ngfw20的服務(wù)卡以確定任何服務(wù)卡是否包括與接收到的p2p會(huì)話請(qǐng)求的應(yīng)用類型匹配的應(yīng)用分類信息。如果狀態(tài)檢查引擎確定沒(méi)有服務(wù)卡包括與p2p會(huì)話請(qǐng)求的應(yīng)用類型匹配的應(yīng)用信息，則狀態(tài)檢查引擎28可以用p2p請(qǐng)求的應(yīng)用標(biāo)識(shí)信息填充服務(wù)卡。在下面進(jìn)一步詳細(xì)描述的非限制性示例中，接收到的p2p請(qǐng)求用于數(shù)據(jù)共享會(huì)話。在狀態(tài)檢查引擎28針對(duì)接收到的p2p會(huì)話請(qǐng)求執(zhí)行應(yīng)用分類之后，聯(lián)合應(yīng)用分類模塊46可以在ngfw20本地緩存應(yīng)用分類信息(74)。例如，聯(lián)合應(yīng)用分類模塊46可以緩存與所請(qǐng)求的會(huì)話(在這種情況下，請(qǐng)求的p2p會(huì)話)有關(guān)的目的地ip地址、目的地端口、應(yīng)用協(xié)議、應(yīng)用名稱和應(yīng)用分類路徑的6元組。另外，聯(lián)合應(yīng)用分類模塊46可以在ngfw20本地緩存請(qǐng)求的p2p會(huì)話的對(duì)等信息(80)。例如，在接收到的p2p會(huì)話請(qǐng)求與會(huì)話相關(guān)聯(lián)的示例中，聯(lián)合應(yīng)用分類模塊46可以將標(biāo)識(shí)信息與會(huì)話請(qǐng)求的對(duì)等信息相關(guān)聯(lián)以形成會(huì)話數(shù)據(jù)，并將會(huì)話數(shù)據(jù)存儲(chǔ)到數(shù)據(jù)庫(kù)48。在會(huì)話的建立時(shí)間，ngfw20可以促進(jìn)客戶端設(shè)備和跟蹤器服務(wù)器(例如，圖1的服務(wù)器18)之間的對(duì)等交換。在對(duì)等交換時(shí)，跟蹤器服務(wù)器可以將對(duì)等列表發(fā)送到客戶端(對(duì)等體16中的一個(gè))。ngfw20可以提取和存儲(chǔ)會(huì)話屬性，例如對(duì)等ip、對(duì)等端口信息和協(xié)議信息(統(tǒng)稱為“對(duì)等信息元組”)。ngfw20的路由引擎50可以從數(shù)據(jù)庫(kù)48獲得會(huì)話數(shù)據(jù)，并將會(huì)話數(shù)據(jù)轉(zhuǎn)換為ipfix格式(82)。盡管本文關(guān)于ipfix格式作為非限制性示例進(jìn)行描述，但是應(yīng)當(dāng)理解，路由引擎50可以實(shí)現(xiàn)本公開(kāi)的技術(shù)，以將緩存的會(huì)話數(shù)據(jù)轉(zhuǎn)換為可以由其它供應(yīng)商邊緣設(shè)備(例如，ngfw)容易地處理的任何其它格式。進(jìn)而，聯(lián)合應(yīng)用分類模塊46可以將ipfix格式的會(huì)話數(shù)據(jù)輸出到網(wǎng)絡(luò)中的其它ngfw(84)。例如，聯(lián)合應(yīng)用分類模塊46可以配置有可以處理和同步該輸出的ipfix格式的會(huì)話數(shù)據(jù)的其它ngfw的ip地址集合。圖5是示出根據(jù)本公開(kāi)的一種或多種技術(shù)的示例過(guò)程90的流程圖，通過(guò)該示例過(guò)程90，設(shè)備(例如，圖2的ngfw20)可以在利用由另一設(shè)備共享的會(huì)話數(shù)據(jù)的同時(shí)，執(zhí)行應(yīng)用分類和狀態(tài)數(shù)據(jù)初始化。過(guò)程90可以在ngfw20從位于相同網(wǎng)絡(luò)的供應(yīng)商邊緣處的另一ngfw接收到ipfix格式的會(huì)話數(shù)據(jù)(即，用于通信會(huì)話的應(yīng)用分類信息6元組和對(duì)應(yīng)的對(duì)等信息元組的組合)時(shí)開(kāi)始(100)。經(jīng)由路由引擎50執(zhí)行的守護(hù)進(jìn)程或“ipfix監(jiān)聽(tīng)器”配置為監(jiān)控或“監(jiān)聽(tīng)”承載以ipfix格式共享的會(huì)話數(shù)據(jù)的ipfix消息。為了檢測(cè)共享會(huì)話數(shù)據(jù)的ipfix格式的消息，在路由引擎50處執(zhí)行的ipfix監(jiān)聽(tīng)器可以確定與消息相關(guān)聯(lián)的消息類型(“msg類型”)是否對(duì)應(yīng)于應(yīng)用分類信息。在路由引擎50檢測(cè)到包括共享會(huì)話數(shù)據(jù)的ipfix格式的消息時(shí)，聯(lián)合應(yīng)用分類模塊46可以提取應(yīng)用分類信息6元組和對(duì)等信息元組，并且通過(guò)將提取的會(huì)話數(shù)據(jù)存儲(chǔ)到數(shù)據(jù)庫(kù)48來(lái)緩存提取的會(huì)話數(shù)據(jù)(102)。另外，路由引擎50可以將從會(huì)話數(shù)據(jù)提取的應(yīng)用分類信息中繼到ngfw20的服務(wù)卡或“服務(wù)圖片(servicepic)”。通過(guò)將應(yīng)用分類信息轉(zhuǎn)發(fā)到服務(wù)圖片，路由引擎50可以將應(yīng)用分類信息與由轉(zhuǎn)發(fā)引擎22的組件(例如狀態(tài)檢查引擎28)生成或使用的數(shù)據(jù)同步。進(jìn)而，ngfw20可以從下游設(shè)備(例如對(duì)等設(shè)備)接收現(xiàn)存的通信會(huì)話的新分組流(104)。聯(lián)合應(yīng)用分類模塊46可以在數(shù)據(jù)庫(kù)48中執(zhí)行系統(tǒng)緩存查找以確定與會(huì)話請(qǐng)求(例如，p2p請(qǐng)求)的對(duì)應(yīng)參數(shù)匹配的對(duì)等信息元組是否已經(jīng)經(jīng)由來(lái)自其它ngfw的共享而被緩存。另外，安全管理模塊44可以執(zhí)行適用于標(biāo)識(shí)的應(yīng)用(在一個(gè)示例中為)的任何緩存的防火墻策略。聯(lián)合應(yīng)用分類模塊46可以確定會(huì)話請(qǐng)求中提供的對(duì)等信息元組是否匹配先前提取并存儲(chǔ)到數(shù)據(jù)庫(kù)48的任何共享會(huì)話數(shù)據(jù)(判定框106)。如果聯(lián)合應(yīng)用分類模塊46確定數(shù)據(jù)庫(kù)48包含與會(huì)話請(qǐng)求的對(duì)等信息元組匹配的會(huì)話數(shù)據(jù)(106的“是”分支)，則聯(lián)合應(yīng)用可以使用緩存的應(yīng)用分類信息來(lái)初始化通信會(huì)話的會(huì)話屬性(108)。在該示例中，基于p2p會(huì)話請(qǐng)求和已經(jīng)在數(shù)據(jù)庫(kù)48處緩存的會(huì)話數(shù)據(jù)之間的對(duì)等信息字段的匹配，在ngfw20處不對(duì)會(huì)話(例如，p2p會(huì)話)的處理進(jìn)行重新分類。相反，聯(lián)合應(yīng)用分類模塊46可以重復(fù)使用存儲(chǔ)在數(shù)據(jù)庫(kù)48中的對(duì)應(yīng)于匹配的對(duì)等信息元組的應(yīng)用分類。以這種方式，ngfw20實(shí)現(xiàn)本公開(kāi)的技術(shù)，以通過(guò)在一些情況下避免應(yīng)用分類來(lái)節(jié)省計(jì)算資源，因?yàn)閼?yīng)用分類通常是大量消耗cpu的過(guò)程。然而，如果聯(lián)合應(yīng)用分類模塊46確定會(huì)話請(qǐng)求的會(huì)話數(shù)據(jù)不匹配任何緩存的會(huì)話數(shù)據(jù)(106的“否”分支)，則聯(lián)合應(yīng)用分類模塊46可以使?fàn)顟B(tài)檢查引擎28執(zhí)行對(duì)于新分組流的應(yīng)用分類(110)。例如，狀態(tài)檢查引擎28可以解封裝和解密新分組流的數(shù)據(jù)。另外，狀態(tài)檢查引擎28可以調(diào)查ngfw20的服務(wù)卡以確定適當(dāng)?shù)膽?yīng)用分類，或者如果沒(méi)有服務(wù)卡包括匹配，則可以用應(yīng)用分類填充服務(wù)卡。進(jìn)而，狀態(tài)檢查引擎28可以使用生成的應(yīng)用分類信息和在對(duì)等交換期間從跟蹤器服務(wù)器獲得的對(duì)等信息來(lái)初始化所請(qǐng)求的會(huì)話的會(huì)話屬性(112)。聯(lián)合應(yīng)用分類模塊46可以通過(guò)將合并的會(huì)話數(shù)據(jù)存儲(chǔ)到數(shù)據(jù)庫(kù)48來(lái)緩存與分組流有關(guān)的應(yīng)用分類信息和對(duì)等信息元組(114)。進(jìn)而，路由引擎50和聯(lián)合應(yīng)用分類模塊46可以以ipfix格式打包所請(qǐng)求的(例如，p2p)會(huì)話的會(huì)話數(shù)據(jù)，并將ipfix格式的會(huì)話信息輸出到網(wǎng)絡(luò)的各種協(xié)作設(shè)備(例如，其它ngfw)。以這種方式，ngfw20實(shí)現(xiàn)本公開(kāi)的技術(shù)，以使得協(xié)作的設(shè)備能夠利用預(yù)處理的會(huì)話屬性，并且避免在某些情況下的應(yīng)用分類。以這種方式，ngfw20表示第一安全設(shè)備的示例，該第一安全設(shè)備包括配置為存儲(chǔ)網(wǎng)絡(luò)通信數(shù)據(jù)的存儲(chǔ)器和用于處理網(wǎng)絡(luò)通信數(shù)據(jù)的至少一部分的一個(gè)或多個(gè)處理器。第一安全設(shè)備的一個(gè)或多個(gè)處理器可以配置為：從第二安全設(shè)備接收表示用于第一分組流的應(yīng)用分類的數(shù)據(jù)；接收第二分組流的數(shù)據(jù)；以及當(dāng)?shù)诙纸M流對(duì)應(yīng)于第一分組流時(shí)，基于用于第一分組流的應(yīng)用分類來(lái)監(jiān)控第二分組流的數(shù)據(jù)，而不對(duì)用于第二分組流的應(yīng)用分類進(jìn)行確定。在一些示例中，第一安全設(shè)備的一個(gè)或多個(gè)處理器進(jìn)一步配置為當(dāng)?shù)诙纸M流不對(duì)應(yīng)于第一分組流時(shí)，確定用于第二分組流的應(yīng)用分類；以及基于為第二分組流確定的應(yīng)用分類來(lái)監(jiān)控第二分組流。在一些示例中，為了確定用于第二分組流的應(yīng)用分類，第一安全設(shè)備的一個(gè)或多個(gè)處理器配置為解封裝和解密第二分組流的至少一個(gè)數(shù)據(jù)分組的數(shù)據(jù)。在一些示例中，第一安全設(shè)備的一個(gè)或多個(gè)處理器進(jìn)一步配置為將與第一分組流相關(guān)聯(lián)的第一對(duì)等信息和與第二分組流相關(guān)聯(lián)的第二對(duì)等信息進(jìn)行比較，以確定第二分組流是否對(duì)應(yīng)于第一分組流。在一些示例中，第一對(duì)等信息和第二對(duì)等信息中的每一個(gè)包括第三層(l3)數(shù)據(jù)，并且用于第一分組流的應(yīng)用分類包括第七層(l7)數(shù)據(jù)。在一些示例中，第一對(duì)等信息和第二對(duì)等信息中的每一個(gè)包括對(duì)等互聯(lián)網(wǎng)協(xié)議(ip)地址和對(duì)等端口的各自的元組。在一些示例中，第一安全設(shè)備的一個(gè)或多個(gè)處理器進(jìn)一步配置為當(dāng)?shù)诙?duì)等信息匹配第一對(duì)等信息時(shí)，確定第二分組流對(duì)應(yīng)于第一分組流。在一些示例中，第一安全設(shè)備的一個(gè)或多個(gè)處理器配置為當(dāng)?shù)诙?duì)等信息與第一對(duì)等信息不匹配時(shí)，確定第二分組流不對(duì)應(yīng)于第一分組流。根據(jù)一些示例，第一安全設(shè)備的一個(gè)或多個(gè)處理器進(jìn)一步配置為通過(guò)窺探在位于第一安全設(shè)備的下游的客戶端設(shè)備與位于第一安全設(shè)備上游的服務(wù)器之間傳送的數(shù)據(jù)分組來(lái)確定第二對(duì)等信息。根據(jù)一些示例，第一安全設(shè)備的一個(gè)或多個(gè)處理器進(jìn)一步配置為通過(guò)窺探在位于第一安全設(shè)備下游的第一客戶端設(shè)備和位于第二安全設(shè)備下游的第二客戶端設(shè)備之間傳送的數(shù)據(jù)分組來(lái)確定第二對(duì)等信息。根據(jù)一些示例，一個(gè)或多個(gè)處理器進(jìn)一步配置為緩存表示用于第一分組流的應(yīng)用分類的數(shù)據(jù)，并且將表示用于第一分組流的應(yīng)用分類的數(shù)據(jù)中繼到第三安全設(shè)備。在一些示例中，第一安全設(shè)備的一個(gè)或多個(gè)處理器進(jìn)一步配置為當(dāng)?shù)诙纸M流不對(duì)應(yīng)于第一分組流時(shí)，確定用于第二分組流的應(yīng)用分類，并且將為第二分組流確定的應(yīng)用分類發(fā)送到第三安全設(shè)備。在一些示例中，本公開(kāi)涉及一種系統(tǒng)，其包括第一安全設(shè)備，第一安全設(shè)備配置為將表示用于第一分組流的應(yīng)用分類的數(shù)據(jù)發(fā)送到通信地耦接到第一安全設(shè)備的一個(gè)或多個(gè)安全設(shè)備。該系統(tǒng)可以進(jìn)一步包括通信地耦接到第一安全設(shè)備的一個(gè)或多個(gè)安全設(shè)備中的第二安全設(shè)備，第二安全設(shè)備配置為從第一安全設(shè)備接收表示用于第一分組流的應(yīng)用分類的數(shù)據(jù)，接收第二分組流的數(shù)據(jù)，以及當(dāng)?shù)诙纸M流對(duì)應(yīng)于第二分組流時(shí)，基于用于第一分組流的應(yīng)用分類來(lái)監(jiān)控第二分組流的數(shù)據(jù)，而不對(duì)第二分組流的應(yīng)用分類進(jìn)行確定。在一些示例中，本公開(kāi)涉及第一安全設(shè)備，其配置為確定用于第一分組流的應(yīng)用分類，并且將用于第一分組流的應(yīng)用分類和用于第一分組流的對(duì)等信息傳送到通信地耦接到第一安全設(shè)備的第二安全設(shè)備。本公開(kāi)中描述的技術(shù)可以以硬件或硬件和軟件(包括固件)的任何組合來(lái)實(shí)現(xiàn)。被描述為單元、模塊或組件的任何特征可以一起實(shí)現(xiàn)在集成邏輯設(shè)備中或者單獨(dú)地實(shí)現(xiàn)為離散但彼此協(xié)作的邏輯設(shè)備。如果以硬件實(shí)施，則該技術(shù)可在處理器、電路、邏輯元件的集合或執(zhí)行本文中所描述的技術(shù)的任何其它設(shè)備中實(shí)現(xiàn)。如果在軟件中實(shí)現(xiàn)，則該技術(shù)可以至少部分地通過(guò)用有非易失性計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)或計(jì)算機(jī)可讀存儲(chǔ)裝置編碼、在其上存儲(chǔ)或包括指令，在執(zhí)行該指令時(shí)，可以使一個(gè)或多個(gè)處理器(例如可編程處理器)執(zhí)行上述方法中的一個(gè)或多個(gè)。非易失性計(jì)算機(jī)可讀介質(zhì)可以形成計(jì)算機(jī)程序產(chǎn)品的一部分，計(jì)算機(jī)程序產(chǎn)品可以包括封裝材料。非易失性計(jì)算機(jī)可讀介質(zhì)可以包括隨機(jī)存取存儲(chǔ)器(ram)(例如同步動(dòng)態(tài)隨機(jī)存取存儲(chǔ)器(sdram))、只讀存儲(chǔ)器(rom)、非易失性隨機(jī)存取存儲(chǔ)器(nvram)、電可擦除可編程只讀存儲(chǔ)器(eeprom)、閃存、磁性或光學(xué)數(shù)據(jù)存儲(chǔ)介質(zhì)等。另外或者可代替的，該技術(shù)可至少部分地由計(jì)算機(jī)可讀通信介質(zhì)實(shí)現(xiàn)，該計(jì)算機(jī)可讀通信介質(zhì)以指令或數(shù)據(jù)結(jié)構(gòu)的形式攜帶或傳送代碼，并且可由計(jì)算機(jī)訪問(wèn)、讀取和/或執(zhí)行。代碼可以由一個(gè)或多個(gè)處理器執(zhí)行，例如一個(gè)或多個(gè)數(shù)字信號(hào)處理器(dsp)、通用微處理器、專用集成電路(asic)、現(xiàn)場(chǎng)可編程邏輯陣列(fpga)或其它等效集成或離散邏輯電路。因此，如本文所使用的術(shù)語(yǔ)“處理器”可以指代任何前述結(jié)構(gòu)或適于實(shí)現(xiàn)本文所描述的技術(shù)的任何其它結(jié)構(gòu)。類似的，如本文所使用的術(shù)語(yǔ)“控制單元”可以指代任何前述結(jié)構(gòu)或適于實(shí)現(xiàn)本文所描述的技術(shù)的任何其它結(jié)構(gòu)。另外，在一些方面中，本文所描述的功能可在經(jīng)配置為執(zhí)行本發(fā)明的技術(shù)的專用軟件和硬件單元內(nèi)提供。不同特征作為單元的描述旨在突出所示設(shè)備的不同功能方面，并且不一定意味著這樣的單元必須由單獨(dú)的硬件或軟件組件實(shí)現(xiàn)。相反，與一個(gè)或多個(gè)單元相關(guān)聯(lián)的功能可以集成在公共或單獨(dú)的硬件或軟件組件內(nèi)。已經(jīng)描述了各種示例。這些和其它示例在所附權(quán)利要求的范圍內(nèi)。當(dāng)前第1頁(yè)12